Source: OJ L 333, 27.12.2022, p. 80–152Current language: FR
- High common level of cybersecurity for entities
Basic legislative acts
- NIS 2 directive
Article 35 Infractions donnant lieu à une violation de données à caractère personnel
Summary What does Article 35 of the NIS 2 directive say?
This article acts as an important coordination and anti-duplication bridge between this Directive and the GDPR (Regulation (EU) 2016/679).
It addresses the specific scenario where a cybersecurity infringement by an essential or important entity also triggers a personal data breach.
It establishes a notification duty between competent authorities under this Directive and data protection supervisory authorities, and critically, it prevents an entity from being hit with an administrative fine under both regimes for the same underlying conduct.
Important points:
- Competent authorities are required to notify the relevant data protection supervisory authority without undue delay when a cybersecurity infringement could also constitute a notifiable personal data breach.
- Where a data protection supervisory authority has already imposed an administrative fine for the same conduct, competent authorities under this Directive cannot additionally impose an administrative fine under Article 34 — though other enforcement measures remain available.
- Where the relevant data protection supervisory authority sits in a different Member State, the competent authority must also inform the data protection supervisory authority within its own Member State of the potential breach.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Lorsque les autorités compétentes prennent connaissance, dans le cadre de la supervision ou de l’exécution, du fait que la violation commise par une entité essentielle ou importante à l’égard des obligations énoncées aux articles 21 et 23 de la présente directive peut donner lieu à une violation de données à caractère personnel au sens de l’article 4, point 12, du règlement (UE) 2016/679, devant être notifiée en vertu de l’article 33 dudit règlement, elles en informent sans retard injustifié les autorités de contrôle visées à l’article 55 ou 56 dudit règlement.
Lorsque les autorités de contrôle visées à l’article 55 ou 56 du règlement (UE) 2016/679 imposent une amende administrative en vertu de l’article 58, paragraphe 2, point i), dudit règlement, les autorités compétentes n’imposent pas d’amende administrative au titre de l’article 34 de la présente directive pour une violation visée au paragraphe 1 du présent article et découlant du même comportement que celui qui a fait l’objet d’une amende administrative au titre de l’article 58, paragraphe 2, point i), du règlement (UE) 2016/679. Les autorités compétentes peuvent toutefois imposer les mesures d’exécution prévues à l’article 32, paragraphe 4, points a) à h), à l’article 32, paragraphe 5, et à l’article 33, paragraphe 4, points a) à g), de la présente directive.
Lorsque l’autorité de contrôle compétente en vertu du règlement (UE) 2016/679 est établie dans un autre État membre que l’autorité compétente, l’autorité compétente informe l’autorité de contrôle établie dans son propre État membre de la violation potentielle de données à caractère personnel visée au paragraphe 1.
Relevant recitals
Considérant 136 Cooperation rules for GDPR infringements
La présente directive devrait établir des règles de coopération entre les autorités compétentes et les autorités de contrôle au titre du règlement (UE) 2016/679 pour traiter les violations de la présente directive touchant aux données à caractère personnel.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
entité
(En. entity)